siedzik Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Mam problem i nie wiem jak jemu zaradzić czytałem różne fora i porady lecz każda operacja okazuje się klęską . Otóż gdy podłączam pendriva wyskakuje mi taki błąd : System Windows -Brak dysku Exception Processing Message c0000012 Parameters 75b3bf7c 75b3bf7c 75b3bf 7c Próbowałem ściągnąć antywirusa lecz po ściągnięciu instalka nie chce się odpalić USBfix również nie chce się odpalić (może znacie inne programy do logów) Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 Próbowałem ściągnąć antywirusa lecz po ściągnięciu instalka nie chce się odpalić USBfix również nie chce się odpalić (może znacie inne programy do logów) Zasady działu jakie raporty umieszcza się tu obowiązkowo: KLIK. Tak więc proszę o te raporty, o ile da się uruchomić narzędzia OTL/FRST i GMER. . Odnośnik do komentarza
siedzik Opublikowano 3 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2013 OTL nie odpowiada jedyne co mogę zrobić to dodawać skrypty ;/ Sprawdzę GMER Też nie da rady po części się udało ale 2x się zawiesił w tym samym momencie to co udało mi się uzyskać : GMER 2.1.19163 Rootkit scan 2013-07-03 23:16:12 Windows 5.1.2600 Dodatek Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 HITACHI_DK23FA-60 rev.00M4A0A2 55,89GB Running: gmer.exe; Driver: C:\DOCUME~1\Grzesiek\USTAWI~1\Temp\agxcykod.sys ---- User code sections - GMER 2.1 ---- .text C:\WINDOWS\system32\svchost.exe[304] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 10004BB0 c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll .text C:\Program Files\Yontoo\Y2Desktop.Updater.exe[356] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 10004BB0 c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll .text C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe[572] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 10004BB0 C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll .text C:\WINDOWS\system32\winlogon.exe[812] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 10004BB0 c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll .text C:\WINDOWS\system32\services.exe[856] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 10004BB0 c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll .text ... ---- User IAT/EAT - GMER 2.1 ---- IAT C:\WINDOWS\system32\svchost.exe[304] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryA] [1000A670] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[304] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtOpenKey] [1000E650] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[304] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtClose] [1000E710] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\winlogon.exe[812] @ C:\WINDOWS\system32\winlogon.exe [KERNEL32.dll!LoadLibraryW] [1000A6C0] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\winlogon.exe[812] @ C:\WINDOWS\system32\winlogon.exe [KERNEL32.dll!LoadLibraryA] [1000A670] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\winlogon.exe[812] @ C:\WINDOWS\system32\winlogon.exe [ntdll.dll!NtOpenFile] [1000A830] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\winlogon.exe[812] @ C:\WINDOWS\system32\winlogon.exe [ntdll.dll!NtOpenKey] [1000E650] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\winlogon.exe[812] @ C:\WINDOWS\system32\winlogon.exe [ntdll.dll!NtQueryValueKey] [1000E500] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\winlogon.exe[812] @ C:\WINDOWS\system32\winlogon.exe [ntdll.dll!NtClose] [1000E710] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\winlogon.exe[812] @ C:\WINDOWS\system32\winlogon.exe [ntdll.dll!NtSetValueKey] [1000E570] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\winlogon.exe[812] @ C:\WINDOWS\system32\winlogon.exe [ntdll.dll!NtCreateKey] [1000E5E0] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!LoadLibraryA] [1000A670] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!LoadLibraryW] [1000A6C0] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [ntdll.dll!NtCreateKey] [1000E5E0] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [ntdll.dll!NtQueryValueKey] [1000E500] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [ntdll.dll!NtSetValueKey] [1000E570] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [ntdll.dll!NtDeleteValueKey] [1000E7E0] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [ntdll.dll!NtEnumerateKey] [1000E420] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [ntdll.dll!NtOpenKey] [1000E650] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [ntdll.dll!NtDeleteKey] [1000E790] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [ntdll.dll!NtSetInformationFile] [1000A9E0] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [ntdll.dll!NtQueryInformationFile] [1000A0B0] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [ntdll.dll!NtDeleteFile] [1000A990] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [ntdll.dll!NtOpenFile] [1000A830] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [ntdll.dll!NtQueryKey] [1000A070] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [ntdll.dll!NtClose] [1000E710] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\Explorer.EXE[1012] @ C:\WINDOWS\Explorer.EXE [KERNEL32.dll!LoadLibraryA] [1000A670] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\Explorer.EXE[1012] @ C:\WINDOWS\Explorer.EXE [KERNEL32.dll!LoadLibraryW] [1000A6C0] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryA] [1000A670] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtOpenKey] [1000E650] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtClose] [1000E710] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[1172] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryA] [1000A670] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[1172] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtOpenKey] [1000E650] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[1172] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtClose] [1000E710] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\System32\svchost.exe[1208] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] [1000A670] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\System32\svchost.exe[1208] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] [1000E650] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\System32\svchost.exe[1208] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] [1000E710] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[1280] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryA] [1000A670] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[1280] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtOpenKey] [1000E650] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[1280] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtClose] [1000E710] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[1436] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryA] [1000A670] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[1436] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtOpenKey] [1000E650] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[1436] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtClose] [1000E710] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\System32\svchost.exe[1500] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] [1000A670] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\System32\svchost.exe[1500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] [1000E650] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\System32\svchost.exe[1500] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] [1000E710] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[1624] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryA] [1000A670] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[1624] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtOpenKey] [1000E650] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll IAT C:\WINDOWS\system32\svchost.exe[1624] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtClose] [1000E710] c:\docume~1\alluse~1\daneap~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll Zatrzymuje się na SYSTEM\CurrentControlSet\Control\SessionMenager\MemoryManagement Mam też problem z zapisem systemu gdyż gdy przywracam opcję klawiszy CTRL+ALT+DELETE i zresetuję komputer wyskakuje mi okienko iż "menadżer zadań został wyłączony przez administratora" za każdym razem muszę wchodzić w ustawienia systemu i je ponownie przywracać ;/ (podobnie jest z zapisem rejestru) Przepraszam że nie jest w dokumencie tekstowym to zapisane ale miałem problemy z tym ponieważ nigdzie nie chciało mi się to zapisać i pod żadną nazwą ;/ Nie wiem co jest tu namieszane i czy to wszystko wina infekcji . Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Mam też problem z zapisem systemu gdyż gdy przywracam opcję klawiszy CTRL+ALT+DELETE i zresetuję komputer wyskakuje mi okienko iż "menadżer zadań został wyłączony przez administratora" za każdym razem muszę wchodzić w ustawienia systemu i je ponownie przywracać ;/ (podobnie jest z zapisem rejestru) Ta treść sugeruje infekcję w rodzaju Sality (wirus w wykonywalnych niszczący wszystkie pliki tego rodzaju na wszystkich dyskach), mimo że GMER nie pokazuje sterownika Sality. To są charakterystyczne polityki tworzone przez tego wirusa. Dodatkowo, jeszcze Tryb awaryjny powinien nie ładować się (BSOD). Poproszę o log zrobiony z poziomu środowiska zewnętrznego: OTLPE. . Odnośnik do komentarza
siedzik Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 I 16:57:35 ImgBurn Version 2.5.1.0 started!I 16:57:35 Microsoft Windows XP Professional (5.1, Build 2600 : Dodatek Service Pack 3)I 16:57:35 Total Physical Memory: 392176 KB - Available: 127436 KBI 16:57:36 Initialising SPTI...I 16:57:36 Searching for SCSI / ATAPI devices...I 16:57:38 -> Drive 1 - Info: MATSHITA UJ-820D 1.00 (D:) (ATA)I 16:57:38 -> Drive 2 - Info: HUAWEI Mass Storage 2.31 (E:) (USB)I 16:57:38 Found 1 CD-ROM and 1 DVD±RW! Jeśli o to chodziło jest to program angielski i nie mogę się w nim połapać Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Ale Ty mi pokazujesz tylko log z nagrywania płyty. Ty masz wypalić płytę OTLPE, zbootować z niej komputer i zrobić z jej poziomu log OTL. Odnośnik do komentarza
siedzik Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Niestety nie jestem w stanie tego zrobić ponieważ nagrywarka mi nie działa ;/;/ (Ps jest to laptop ) Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Tam jest alternatywna instrukcja robienia bootowalnego USB: OTLPE URUCHOMIONE Z USB Domyślnie OTLPE jest przygotowane do nagrania na nośnik CD. Istnieje możliwość stworzenia bootowalnego USB. Pobraną paczkę OTLPE rozpakuj za pomocą 7-zip. W środku jest plik ISO, który należy nagrać na USB. Do wyboru dwa kreatory: 1. Kreator YUMI. Wybierasz opcję "Try an Unlisted ISO" lub "Try an Unlisted (Run From RAM)" i wskazujesz plik ISO. 2. Kreator PeToUSB. . Odnośnik do komentarza
siedzik Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Szukam szukam i nie wiem który to plik ;/ Nie znam się tak dobrze na programowaniu komputerów Nie mogę również zainstalować tego programu YUMI 0.0.9.9 nie wiem czy to przez to iż wersja jest inna ;/ Na poradniku pisze jak zainstalować i jak ustawić lecz tego w instalacji u mnie nie ma . Odnośnik do komentarza
picasso Opublikowano 4 Lipca 2013 Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Pobrany plik OTLPEStd.exe wypakujesz za pomocą 7-zip. Wśród otrzymanych plików będzie OTLPE_New_Std.iso. Ten plik wskazujesz w jednym z kreatorów tworzenia bootowalnego pendrive. . Odnośnik do komentarza
siedzik Opublikowano 4 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2013 Dobrze mam to na pendrivie i co dalej nie wiem co uruchomić ;/ Przetworzyło mi to tak jak bym to wypakował i przerzucił na pena .(Nwm czy tak ma być ?) Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 siedzik, nie rozumiem co mówisz. Miałeś wykonać bootowany pendrive za pomocą wskazanego kreatora. A po tym: wkładasz pendrive, resetujesz system i bootujesz z tego pendrive (a nie do Windows). Jeśli jednak pendrive nie startuje i ładuje się Windows, to w BIOS sprawdź czy komputer jest w ogóle w stanie zbootować USB i czy urządzenie USB da się wybrać jako urządzenie startowe. Jeśli bootowanie z USB okaże się niemożliwe, to rosną trudności. Mówiłeś, że nagrywarka nie działa i jak rozumiem to jedyny napęd ROM w tym laptopie? . Odnośnik do komentarza
siedzik Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Tak jest to jedyny napęd ;/ Miałem zbootować pena i to robiłem lecz zbootował się tak jak bym wypakował pliki do pena . Instalacja YUMI się zakończyła lecz żadnego pliku startowego nie ma .Wyszukiwałem tego i nic . Postaram się to zrobić jeszcze dziś lecz praca mi przeszkadza ;/ Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Miałem zbootować pena i to robiłem lecz zbootował się tak jak bym wypakował pliki do pena Ale ja tego fragmentu właśnie nie rozumiem. Czy masz na myśli, że podczas startu pendrive został zignorowany i załadował się po prostu Windows? Jak mówię, w takiej sytuacji musisz sprawdzić ustawienia BIOS. . Odnośnik do komentarza
siedzik Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Mam jeszcze 1 trochę głupie pytanie czy pendrive musi być czysty ?? Niestety bootowanie nie powiodło się wciąż uruchamia się system ;/ W BIOS'ie nie będę grzebał bo się na nim nie znam . Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Mam jeszcze 1 trochę głupie pytanie czy pendrive musi być czysty ?? Tak, przed zgraniem pliku ISO na niego ma być sformatowany. Niestety bootowanie nie powiodło się wciąż uruchamia się system ;/ W BIOS'ie nie będę grzebał bo się na nim nie znam . Zaczynam mieć związane ręce, a nie da się ocenić statu systemu bez raportów: - Skan OTL się zawiesza. - Jedyny dostępny napęd ROM nie działa i nie można zbootować płyty. - Bootowalny pendrive nie bootuje. Zostaw na razie ten pendrive i sprawdź czy dasz radę uruchomić skan FRST. . Odnośnik do komentarza
siedzik Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Chwila Chwila ja nie formatowałem pena ponieważ nie było mowy o czystym penie .Bym może i to przeszkadza w otwarciu tego . Zaraz będę kombinował jeśli to nie pomoże to spróbuje FRST. Jeszcze o tyle mam dobrze że kuzyn mi udostępnił swojego lapka bo tam nic bym nie zrobił muli go strasznie ;/Udalo mi się zrobić skan OTL powodem zacinania się OTL był błąd który wyskakuje po podłączeniu pendriva a gdy klikam anuluj przy tym błędzie program automatycznie ruszył do pracy .Oto załączniki OTL.Txt Extras.Txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Niestety jest po zabawie. Tak jest, tu siedzi wirus Sality, o którym mówiłam. Jego obecność poświadcza sterownik, wspominane przez Ciebie blokady Menedżera zadań i rejestru oraz masa autoryzacji z opisem "ipsec" w Zaporze:: DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nomjkt.sys -- (abp470n5) O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-21-1202660629-764733703-842925246-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-21-1202660629-764733703-842925246-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "F:\qqkhds.exe" = F:\qqkhds.exe:*:Enabled:ipsec "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" = C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe:*:Enabled:ipsec -- (ATI Technologies, Inc.) "C:\WINDOWS\Explorer.EXE" = C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec -- (Microsoft Corporation) etc. Dodatkowo, prawdopodobnie ukryty plik autorun.inf też jest od Sality: O32 - AutoRun File - [2009-10-16 19:45:00 | 000,000,299 | RHS- | M] () - H:\autorun.inf -- [ FAT32 ] Wszystkie pliki wykonywalne na wszystkich dyskach są infekowane. Tu niestety może być kompleksowy format wszystkich dysków na widoku... Poza tym, jest śmietnik adware. Próba leczenia: 1. Pobierz SalityKiller. Wykonaj nim skan do skutku, tzn. po pierwszy przebiegu musi być powtórzony tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. Dopiero wtedy: 2. Pobierz Sality_RegKeys. Z paczki uruchom plik SafeBootWinXP.reg i potwierdź import do rejestru. 3. Przez Dodaj/Usuń programy odinstaluj tyle ile zdołasz z tej listy adware: BRiowssE2osavuee, BrowserProtect, BrowseToSave 1.74, Delta Chrome Toolbar, Delta toolbar, Funmoods, Qtrax Player, Update for Video Converter, Video Converter Packages, Yontoo 2.053. Niestety wirus Sality może uszkodzić te aplikacje uniemożliwiając deinstalację. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowe logi (narzędzia pobierz na nowo, poprzednie kopie mogą być uszkodzone przez wirusa): OTL z opcji Skanuj (bez Extras) + FRST (bez Addition) + GMER + USBFix z opcji Listing. Dołącz log utworzony przez AdwCleaner. Podsumuj co robił SalityKiller. Odpowiadasz mi oczywiście w nowym poście. . Odnośnik do komentarza
siedzik Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Wystąpil problem z pkt 4 ponieważ program nie chce się pobrać ;/ Nie otwiera pliku do pobrania probowałem kilka krotnie . Lecz jest już poprawa gdy podłączam pendriv'a nie wyskakuje mi żaden błąd internet od razu innaczej reaguje na polecenia Miał bym jeszcze pytanie czy dało by radę pomoć w odnalezieniu sterowników do tego laptopa ?? Przy usówaniu i odinstalowywaniu plików odmówiły mi tylko 2 programy ;/ Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Pobierasz go na zainfekowanym systemie? Co się dzieje po kliknięciu tego linka: KLIK? . Odnośnik do komentarza
siedzik Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Ładowanie.... i nic dalej czekam już z 3 min Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2013 Zgłoś Udostępnij Opublikowano 5 Lipca 2013 U mnie plik się pobiera od razu. Spróbuj go pobrać na innym komputerze niż ten którego używasz przy pobieraniu. I nie jest wykluczone, że wirus Sality tu ma wpływ, jeśli pobieranie jest blokowane na zainfekowanym komputerze. Nic się zresztą nie wypowiadałeś na temat pracy SalityKiller (ile razy go uruchamiałeś i co wykrył). . Odnośnik do komentarza
siedzik Opublikowano 5 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2013 Wykrył ponad 800 infekcji za 2 razem wykrylo tylko 1 infekcje a za 3 nic . Spora część infekcji siedziała w samym systemie tak to siadło mi to wszystko na gry . Podczas skanowania GMER ponownie powtórzyło się to samo co wcześnie i musiałem restartować lapka ;/ Reszta programów bez problemu. Lecz od pierwszego skanu GMER lapek strasznie się opóźnił w uruchamianiu systemu i trwa to znacznie dłużej. OTL.Txt FRST.txt AdwCleanerS1.txt UsbFix Listing 2 MIKI-D3C83A57D5.txt Odnośnik do komentarza
picasso Opublikowano 6 Lipca 2013 Zgłoś Udostępnij Opublikowano 6 Lipca 2013 LEcz od pierwszego skanu GMER lapek strasznie się opóźnił w uruchamianiu systemu i trwa to znacznie dłużej . Wejdź do opisu GMER i wykonaj instrukcje z ustępu Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP). Po wykonaniu tych akcji zajmij się doczyszczaniem po infekcji: W raportach nie ma już sterownika Sality, więc infekcja najwyraźniej zatrzymana. Ale tu jeszcze nie koniec akcji. 1. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [vbcc32.exe] C:\DOCUME~1\Grzesiek\USTAWI~1\Temp\vbcc32.exe [x] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [x] Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: netsh firewall reset C:\AUTORUN.INF H:\autorun.inf H:\lwoetr.exe C:\Documents and Settings\Grzesiek\Pulpit\.lnk C:\Documents and Settings\Grzesiek\Moje dokumenty\plik.reg C:\Documents and Settings\Grzesiek\Dane aplikacji\n402.dll C:\Documents and Settings\Grzesiek\Dane aplikacji\Mozilla C:\Program Files\Mozilla Firefox Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij Fix. Powstanie plik fixlog.txt. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Zresetuj plik HOSTS narzędziem Fix-it do postaci zgodnej z XP: KB972034. 4. Zrób nowy log OTL z opcji Skanuj (bez Extras). Przedstaw plik fixlog.txt. Poza tym, GMER nawalił, więc sprawdź co powie Kaspersky TDSSKiller. Jeśli coś wykryje, ustaw Skip i tylko log do oceny podaj (będzie na dysku C). Jeśli nic nie wykryje, log zbędny. . Odnośnik do komentarza
siedzik Opublikowano 6 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2013 Tak gdy wchodzę w dyski w trybie IDE Jest wszystko ustawione na DMA w pomocniczym i podstawowym .Lecz pisze że bieżącym trybem transferu jest PIO ;/ Zabieram się do pracy nad pktami . Niestety nie mogę zresetować pliku HOSTS ponieważ program fix it wymaga zresetowania lapka a po resecie ma wrócić do pracy lecz tego nie robi . Póki co czekam na odpowiedź nie będę podejmował kolejnych operacji . Odnośnik do komentarza
Rekomendowane odpowiedzi